SiteGuard WP Pluginでセキュリティ対策！インストールや設定方法も解説

「不正ログインによるサイトの改ざんや情報漏えいが怖い」
「Wordpressの効果的なセキュリティ対策はどれ？」

WordPressでWebサイトやブログを立ち上げた人の中に、このような不安や疑問を持っている人もいると思います。世界中で多くの人が使っているWordpressは、初期設定のままでは不正ログインによるWebサイト改ざんや個人情報漏洩のリスクも高まるのです。

そうした不正ログインを防ぐプラグインとして知られているのが、『SiteGuard WP Plugin』です。

今回はSiteGuard WP Pluginの基礎知識や設定方法、SiteGuard WP Pluginをより高いセキュリティで使うための方法などを解説します。

WordPressのログイン画面は対策しないと誰でも簡単にアクセス可能

WordPressは人気のサイト作成ツールで、使用者が多いことも特徴。

その他にもログイン時のユーザー名や初期設定のパスワードなど、サイバー攻撃の標的になります。併せて、ログインページURLを変えない状態はとても危険。

大切なサイトを守るためにも、ログイン画面のセキュリティ対策は必須なのです。

SiteGuard WP Pluginについて

SiteGuard WP Pluginは、WordPressの不正ログインが出来ないようにログイン画面を保護するプラグインです。

無料で使えるだけではなく、日本語対応で便利なのでとても人気があるプラグイン。
さらには、複数対策できることも大きなメリットです。

WordPressの管理画面やログイン画面は、サイバー攻撃を受けることも。
不正ログインされるとサイトの改ざんや個人情報の漏洩など、悲惨な状況にもなりかねません。

レンタルサーバーを提供している会社でも、セキュリティ対策として『WAF(Web Application Firewall』によるセキュリティ対策を行っている会社もあります。

ちなみに、WordPressを簡単にインストールできる機能を使用する場合はプリインストールされています。

SiteGuard WP Pluginの主な機能

SiteGuard WP Pluginには以下のような機能が備わっています。

どの機能も大切なサイトをサイバー攻撃から守るために欠かせない機能です。
この後の項目からはSiteGuard WP Pluginのインストールと設定方法を詳しく解説していきます。

SiteGuard WP Pluginのインストール方法方法

ここからは、SiteGuard WP Pluginのインストール方法を解説します。
SiteGuard WP Pluginは、管理画面の左にある「プラグイン」画面から行います。

右上に「今すぐインストール」ボタンをクリックして、有効化をクリックするとインストール完了です。

有効化すると、「新しいログインページURLをブックマークしてください」とメッセージが表示されます。
クリックすると新しいログイン画面が表示されるので、表示されたURLをブックマークしてメモも行いましょう。

SiteGuard WP pluginを有効化されると、Wordpress管理画面に「SiteGuard」が表示されます。

SiteGuard WP Pluginの設定方法

SiteGuard WP pluginのインストールが完了すると、ダッシュボード上に以下のようなメニュー一覧が表示されます。

項目順に解説していきます。

1.管理ページアクセス制限

管理ページアクセス制限は、ログインしていない接続元から/wp-admin/以下のファイルを守る効果があります。

WordPressの初期設定では管理画面プログラムには権限で制限がかかっていますが、JavaScriptや画像などには制限がないためアクセスできます。
管理ページアクセス制限は緊急性は高くなく念のためという機能なので、OFFのままで問題ありません。

2.ログインページ変更

ログインページ変更は、ログインページ名を変更してサイバー攻撃からのセキュリティを高める効果があります。

具体的には以下の効果があります。

ここでは設定をONにします。ONにするとURLはlogin_【5桁の乱数】となりますが、もう少し難解な文字列に変えると安心です。
また、ログインページへのリダイレクトについてはチェックONにします。

初期設定では「/wp-admin/以下」にアクセスすると、未ログインでは自動的にログイン画面に戻ります。
この状態では名前を隠したログインURLが自動転送により簡単に把握されます。

3.画像認証

画像認証はログインやコメント、パスワード変更などに画像認証を追加し認証時の入力文字列が選択できます。

設定をONにするとログインなりすまし攻撃だけではなく、スパムコメントにも効果を発揮します。
ちなみに、文字列はデフォルトのひらがなで問題ありません。

4.ログイン詳細エラーメッセージの無効化

ログイン詳細エラーメッセージの無効化は、ログインエラー時のメッセージを同一内容に変更してくれます。

この機能がない状態では、「存在しません」「間違っています」などのメッセージが表示されてセキュリティ的には不向きです。
特別な事情がない限り設定はONにしておいたほうが安心です。

5.ログインロック

ログインロックは、ログイン失敗が一定期間内かつ一定回数を超えた場合に接続元IPアドレスを指定された時間だけブロックしてくれます。

「失敗をカウント期間」「ロックまでの失敗回数」「ロックをかける時間」が指定できます。
デフォルトではON・期間(5秒)・回数(3回)・ロック時間(1分)と設定されています。

6.ログインアラート

ログインアラートは、新たにログインされた場合にユーザー宛てにメールが届く機能。

不正ログインなどを早期発見するための設定で、変更できるのは送信内容と送信対象です。
ちなみに、「管理者のみ」にチェックすると管理者権限を持つユーザーのみに送れます。

不正ログイン対策としてONにしておきましょう。

7.フェールワンス

フェールワンス(最初のログイン失敗)機能が有効になる設定です。

フェールワンスが有効では、どんなに正しいアカウント情報でログインしても初回は失敗します。
パスワードリスト攻撃やブルートフォース攻撃を仕掛けた攻撃者を惑わせる役目をししてくれるのです。

気になるようであればOFFで問題ありません。

8.XMLRPC防御

XML-RPCは、XML-RPCやピンバック機能を無効化してくれます。

XML-RPCはWordPress外部からデータ参照や更新するXMLデータと、HTTP通信を使ったインタフェースの仕組み自体を指します。

ピンバック機能は「ピンバック通知がスパムに使われるリスク」「内部リンクを記事に貼りつけても通知が飛ぶ」などから、XMLRPCは無効化にして問題ないと思います。

9.ユーザー名漏えい防御

ユーザー名漏えい防御は、設定画面から「?author=」というアクセスを防いでくれたり、REST API使用が無効化になる効果があります。

初期状態では「?author=【数字】」というアクセスが許可されます。
アクセスすると「/author/ユーザー名/」と表示されユーザー名が発覚します。
author=1は最初に作られるユーザー名で、多くの場合は管理者権限を持っています。

ユーザー名が発覚するとパスワードが推測できればログインできるので、必ずONにしておきましょう。

10.更新通知

WordPress自体やプラグインやテーマ更新が発生した時に、メール通知してくれる機能です。
デフォルト設定とおすすめ設定もONで問題ありません。

11.WAFチューニングサポート

WAFチューニングサポートは、契約しているレンタルサーバー側でWAFが有効化されている場合は必要に応じて設定します。
詳しく分からない場合は、デフォルトのOFFで問題ありません。

12.詳細設定

詳細設定はIPアドレス取得方法の詳細が設定できます。

ロードバランサやプロキシがエンドユーザーとの間にあり、IPアドレスが通常のように取得できない場合に設定するので、ここでは設定は不要です。

13.ログイン履歴

ログイン履歴では、ログインに成功した時や失敗した時の記録が全て保存されています。
タイプや結果でフィルターがかけられるので、不正ログインの疑いが考えられる場合などはログイン履歴で確認すると安心です。

ログインページURLを忘れた時の対処方法

変更したURLは、レンタルサーバの.htaccessに保存されています。
契約しているサーバの管理画面にログインすると、いつでもログインURLが確認できます。

まとめ

今回はSiteGuard WP Pluginの基礎知識や設定方法、SiteGuard WP Pluginの効果的な使い方などを解説しました。

SiteGuard WP Pluginは大切なサイトをサイバー攻撃から守ってくれる、インストール必須のプラグイン。
今回の記事を参考にして、セキュリティ対策万全のサイトを作ってみませんか？